Безопасность

Хотелось бы услышать рекомендации по поводу организации безопасности астериска. Конкретнее как следить за попытками входа, как защитися от взлома, какие параметры отвечают за безопасность или отсутствие каких настроек может создать потенциальную дыру, безопасен ли дефолтный астериск, как защититься от "звонков в африку".

Заранее благодарен.

спросил Apr 12 '11

godlike

814 ● 92 ● 24 ● 62

обновил Apr 12 '11

Comments

"звонков в африку" в африку дешево в Кубу вот это да :) alexcr (Apr 14 '11)edit

тоже был опыт неприятных кубинских разговоров? um2010 (Apr 14 '11)edit

угу , самое жестокое было когда астер по SIP с самсунгом работал, астер я прикрыл а вот самунг поломали и залили 2к баксов :) alexcr (Apr 17 '11)edit

2 килозелени - это мелочь, известен случай со 100 К$ от это неприятно! um2010 (Apr 17 '11)edit

10 Ответов

Сорт. по » старые новые больше голосов

1)попыткы подбора пароля - выставить сложные пароли на софтфоны, fail2ban

2) если снаружи не регистрируються - закрыть снаружи все кроме провадера.

3) logwatch

самая лучшая защита - не ложить много денек на счет.

ссылка удалить спам редактировать

ответил Apr 13 '11

meral

23347 ● 24 ● 20 ● 177
http://pro-sip.net/

обновил Apr 13 '11

Comments

4) поменять номер SIP порта на другой какой. Zavr2008 (Apr 13 '11)edit

5) в диалплане для PSTN линии закрыть выход на другие страны Zavr2008 (Apr 13 '11)edit

Ну раз уж тут так активно раздают плюсы, держи =) . Твой вариант 2 очень простой и эффективный kasper (Apr 15 '11)edit

"поменять номер SIP порта на другой какой" - бугага защита))

" в диалплане для PSTN линии закрыть выход на другие страны" - спасает только при наводнении.

zzuz (Mar 3 '13)edit

99% систем ломается автоматизированными скриптами. Есть конструктивыне дополнения? пишите. скриптов с названием "бугага" неимеем.

meral (Mar 3 '13)edit

Есть куча мероприятий по безопасности астериск и многие можно нагуглить, но! Есть два, на мой взгляд, самых главных:
1. Сложные пароли и запрет гостевых вызовов.
2. Нужно понимать и правильно конфигурировать соответствия вызовов к контекстам, чтоб не получалось, что вызов экстеншена, который не должен вызываться в контексте - а вдруг вызывается или из-за инклюда или из-за того, что peer приходит не в тот контекст.

Соблюдая эти два простых правила можно избавиться от 90% проблем.

ссылка удалить спам редактировать

ответил Apr 13 '11

um2010
2056 ● 70 ● 13 ● 55

alwaysauthreject=yes в sip.conf
это усложнит подбор пароля

ссылка удалить спам редактировать

ответил Apr 13 '11

erizo
71 ● 10 ● 3 ● 11
http://www.telefant.ee/

обновил Apr 15 '11

Comments

alwaysauthreject=yes :)))) Zavr2008 (Apr 14 '11)edit

ну, всмысле да ))) erizo (Apr 15 '11)edit

И в завершение ко всему - Session Border Controller на основе iptables.

Block DDoS attack on SIP Server

уменьшит в разы нагрузку на астериск, провоцируемую ботами-брутфорсерами.

ссылка удалить спам редактировать

ответил Apr 14 '11

mistral

370 ● 2 ● 5 ● 19

Comments

а не проще ли использовать готовые решения вроде fail2ban, заодно можно снять нагрузку с почтового клиента, ссх и тд. erizo (Apr 15 '11)edit

выше тоже готовое решение. и fail2ban - пока пока проанализирует лог - 1000 запросов как минимум уже пройдет. И fail2ban - по сути - лишь анализатор логов + скрипт упправления IPTables, против DoS и мощного брута он неэффективен mistral (Apr 15 '11)edit

ну не знаю как у вас, у меня больше 10 не проходило(лимит стоит 5 неудачных попыток) erizo (Apr 15 '11)edit

против DDOS нет вообще ничего ефективного. ибо канал как правило забивает сразу. фильтруй не фильтруй. фейл2бан прекрасно справляется. то что по сылке можно использовать вместе с фейл2бан. но на некоторых машинах такой скрипт крайне ухудшает голос. в частности на ксен впс-ах meral (Apr 15 '11)edit

насчет fail2ban - есть такое. на Атомах тоже наблюдается. Собака зарыта в sysctl, пока толком еще не разобрались где именно. mistral (Apr 18 '11)edit

alwaysauthreject=yes allowguest=no

call-limit=2

ссылка удалить спам редактировать

ответил Apr 14 '11

cvieri
673 ● 12 ● 5 ● 21
http://www.qcall.com.ua/

Comments

не ну коллимит 2 - это жесть! um2010 (Apr 14 '11)edit

почему, один раз по молодости провтыкал, взломали екстеншн и через него звонили множество абонентов одновременно... теперь если и взломают - то укакаются больше 2-х звонить))) cvieri (Apr 14 '11)edit

call-limit обсолитнули в 1.6, аккуратнее Zavr2008 (Apr 17 '11)edit

простите, что сделали?) cvieri (Apr 18 '11)edit

вроде как не работает, хотя у меня 1.8 и работает um2010 (Apr 18 '11)edit

Ну и все забыли про такие параметры как permit/deny в которых можно указать подсеть.
Конечно ручками при создании каждого сип пользователя добавлять подсеть неудобно, но с учётом того что веб интерфейс триксбокса редактируется не сложно, в теории можно его поправить что бы он сразу при создании extension добавлял туда подсеть с которой с этим экстеншеном можно работать. Это конечно если у вас не голый астериск

ссылка удалить спам редактировать

ответил Apr 14 '11

kasper
305 ● 3 ● 10

Comments

чтобы ручками каждого не править есть понятие "шаблоны" svoy (Apr 14 '11)edit

deleted____ kasper (Apr 14 '11)edit

Самое радикальное и верное, ИМХО, защитить Астер через OpenSIPS. В этом случае внешние юзеры на нем регятца, там и защита, там и RAIDUS. Минус пожалуй - настраивать сложнее, нет горячо любимых Триксов =)

ссылка удалить спам редактировать

ответил Apr 18 '11

Zavr2008

2886 ● 11 ● 9 ● 40
http://mh.otx.ru/

Comments

конечно конечно.а чего тогда не через хардвардный ддос протект? нафига эти сложности. тем более с радиусом. нечего оно не защищает по факту. meral (Apr 18 '11)edit

радиус не защищает, но! если на астериске есть клиенты, которые раздолбайски относятся к хранению паролей, к примеру, то он не даст уйти сильно в минус этому самому клиенту, чтоб тот потом вместо выплаты дебиторки в 300 тонн, слил контору! Опять же если радиус прикручен к биллингу, то можно просто запретить звонки стоимостью более 20 рублей в минуту и т.д. Так что польза от радиуса есть! um2010 (Apr 18 '11)edit

именно, про радиус как элемент системы написал, не как панацею.. Просто в OpenSIPs мне кажется более надежным по сравнению с астером при атаках из вне. Естественно при прямых руках! Опять же при ддос есть возможность кластеризации.. Т.е. астер конечно есть, но прикрыт снаружи проксёй. Zavr2008 (Apr 18 '11)edit

от ддоса может спасти только лояльность и оперативность провайдера, остальное - это борьба с ветряными мельницами! um2010 (Apr 18 '11)edit

в том числе. но самим тоже не стоит лапки поднимать.. Zavr2008 (Apr 19 '11)edit

тут поднимай не поднимай, если на тебя сыпится 400% твоей полосы с десяти тысяч разных ip (да если даже одного) - хоть с бубном хоть со свечкой - все мимо! um2010 (Apr 19 '11)edit

угу. и я о том же. от ДДОСА защиты нет никакой. от ДОСа прекрасно справляется елементарный fail2ban. meral (Apr 20 '11)edit

Еще есть польза от мероприятий, которые проводятся "на глаз":

настроить SNMP + MRTG и смотреть картину занятия одновременных каналов (хотя бы раза три в неделю).

Обязательно к этому же mrtg прикрутить количество ошибок и предупреждений в messages-логе и его так же просматривать хотя бы раз в неделю

ссылка удалить спам редактировать

ответил Apr 17 '11

um2010
2056 ● 70 ● 13 ● 55

обновил Apr 17 '11

Применял кто либо snort для анализа и защиты?

ссылка удалить спам редактировать

ответил Apr 19 '11

BoomBerbun
1 ● 1

обновил Apr 19 '11

Comments

применял, меня он забанил через два часа, приняв за злоумышленника! um2010 (Apr 19 '11)edit

Хм, какие правила использовал, логи собственного бана остались, что делал с серваком, после чего попал в бан? BoomBerbun (Apr 19 '11)edit

Было давно, точно не упомню всего, но забалил он меня по прикльной причине: попытка открыть url: http://server/admin.php um2010 (Apr 19 '11)edit

Ок, включю побольше правил,для теста. Кто конкретно правил snort для анализа и защиты asterixa очень нужно ваше мнение! Спасибо! BoomBerbun (Apr 19 '11)edit

Ну вот стоило опубликоваться как понеслись подборы паролей)))) Чуваки сервер тестовый, вам х....что обломиться.Денег там 5$. BoomBerbun (Apr 20 '11)edit

это не чуваки. это боты.. такшо скорее вам обломиться чем ботам... я снорт применял. главное иметь хотябы один адрес который сразу в белый список поставить. ибо он параноик. там надо пороги повытсавлять правильно. я просто написал простое правило на количество запросов в минуту с адреса. тсавил 20 кажися. из этого правила исключил порты 10000-20000(ртп). meral (Apr 20 '11)edit

Последнее время получал ну очень много сообщений от fail2ban о попытках подбора пароля. То ли где-то занесли мой IP в какой-то список, то ли дети всей планеты играют в одну и ту же игру. Короче, здесь взял идею, а здесь список сетей по странам. Добавил к своим правилам iptables проверку на страны где есть мои клиенты - RETURN в основную рутину, а все остальное LOG и DROP. log растет не по часам а по минутам ;-))

ссылка удалить спам редактировать

ответил Mar 2 '13

alphil

520 ● 11 ● 5 ● 16
http://www.damal.es/

Comments

Даже если только россия, то нефиговый список получается. Интересно, как микротик его пережует...

switch (Mar 3 '13)edit

Ну да, у меня получается 1058 строк, но это на выделенном сервере. А на Mikrotike, я думаю будет работать без проблем. Так как проверка пакетов происходит только если статус NEW, потом все RELATED и ESTABLISHED не проверяются, думаю у вас так настроен firewall ;-)).

alphil (Mar 4 '13)edit

Просто админить не очень удобно будет, полагаю. Хотя в винбоксе удобные средства фильтрации имеются...

switch (Mar 4 '13)edit

Безопасность

Comments

10 Ответов

Comments

Comments

Comments

Comments

Comments

Comments

Comments

Comments

Ваш ответ

Закладки и информация

Статистика

Похожие вопросы: